Katarzyna Domagalska
Usługi walidacji podpisów a Autenti
Na rynku dostępnych jest kilka sposobów weryfikacji podpisów i pieczęci elektronicznych. Postanowiliśmy sprawdzić, jakie przynoszą rezultaty w kontekście weryfikacji podpisów elektronicznych składanych za pomocą platformy Autenti. W tym artykule wzięliśmy pod lupę publicznie dostępną usługę “WERYFIKACJA PODPISU”
Weryfikacja podpisu elektronicznego a Autenti - wprowadzenie
W teście użyliśmy dokumentu podpisanego na platformie Autenti, który zawierał zarówno zwykły podpis elektroniczny, jak i podpis kwalifikowany. Warto w tym miejscu zaznaczyć, że dokumenty Autenti poza podpisami elektronicznymi zawierają także pieczęci elektroniczne - otwierającą i końcową. Te z kolei zabezpieczają autentyczność i integralność dokumentu zarówno przed, jak i po jego podpisaniu. Dokumenty podpisane na platformie Autenti zawierają dodatkową stronę - “Kartę Podpisów”, na której zwizualizowane są wszystkie podpisy i pieczęci złożone w procesie sygnowania.
Weryfikacja podpisu elektronicznego - jak wygląda proces?
Aby skorzystać z usługi weryfikacji podpisu elektronicznego we wspomnianym wyżej serwisie, należy wskazać podpisany dokument lub przeciągnąć go na okno weryfikacji, a następnie użyć przycisku “Weryfikuj”.
Wynik weryfikacji podpisu elektronicznego zostanie przedstawiony po kilku chwilach i (w naszym przypadku) wygląda następująco:
Wskazuje on prawidłowość wszystkich podpisów i pieczęci zawartych w dokumencie. Omówimy je osobno w dalszej części artykułu.
Dodatkowo każde pole weryfikacji jest przedstawione jak na poniższej ilustracji:
Warto też wskazać, że dokumenty podpisane na platformie Autenti zawierają następujące pola nazywane “Rewizjami”:
- jedno pole dla pieczęci otwierającej,
- jedno pole dla każdego podpisu elektronicznego lub kwalifikowanego podpisu elektronicznego,
- jedno pole dla pieczęci końcowej,
- jedno pole dla znacznika czasu - przy czym znacznik czasu nie jest wizualizowany ani wyświetlany w procesie walidacji podpisów. Z tego powodu dokument zawierający 2 podpisy Autenti będzie miał 5, a nie 4 pola rewizji.
Pola weryfikacji podpisu elektronicznego - co oznaczają?
W tym miejscu warto wyjaśnić, co oznaczają poszczególne pola weryfikacji podpisu elektronicznego.
- Pieczęć otwierająca Autenti
Pieczęć otwierająca to zaawansowana pieczęć elektroniczna oparta o kwalifikowany certyfikat. Zapewnia ona integralność oraz autentyczność dokumentu, który został wysłany do podpisu elektronicznego. Każda pieczęć i każdy podpis są zaprezentowane w warstwie wizualnej na Karcie Podpisów - pieczęć otwierająca jako pierwsza. Informuje ona o osobie (lub podmiocie), która wysłała dokument do podpisu oraz zabezpiecza integralność dokumentu przed rozpoczęciem procesu podpisywania. Pieczęć otwierająca zawiera dodatkowo informację o dacie i godzinie rozpoczęcia procesu podpisywania dokumentu.
- Kwalifikowany Podpis Elektroniczny
Kwalifikowane podpisy elektroniczne na platformie Autenti są składane w formacie zgodnym ze standardem PAdES i w oparciu o kwalifikowany certyfikat podpisu elektronicznego. Pole walidacji wskazuje konkretnego podpisującego na podstawie jego kwalifikowanego certyfikatu.
Kwalifikowany podpis elektroniczny zawiera:
- informacje o osobie podpisującej, które pochodzą z certyfikatu podpisującego,
- wskazanie, że jest to kwalifikowany podpis elektroniczny,
- numer seryjny umieszczony w certyfikacie podpisującego - w szczególności może być to numer PESEL, numer dowodu osobistego lub numer paszportu.
Kwalifikowany podpis elektroniczny zawiera Europejski Znak Zaufania, który może być - zgodnie z prawem UE - stosowany jedynie w stosunku do kwalifikowanych usług zaufania.
- Pieczęć Autenti potwierdzająca złożenie zwykłego podpisu elektronicznego
Pieczęciami elektronicznymi Autenti zabezpieczone są także zwykłe podpisy elektroniczne. Platforma Autenti po każdym złożeniu podpisu przez podpisującego, dołącza do dokumentu:
- dane podpisującego,
- informację w jaki sposób podpisujący został zweryfikowany,
- datę podpisania.
Wszystkie wymienione dane są dostępne na Karcie Podpisów, tak, jak zaprezentowano poniżej.
Ilustracja 1 - podpis elektroniczny Autenti osoby uwierzytelnionej za pomocą adresu e-mail, bez wskazania organizacji podpisującego, a więc pozostającej najczęściej z nadawcą w relacji konsumenckiej. Pole to zawiera imię i nazwisko podpisującego oraz jego adres e-mail, za pomocą którego nastąpiło uwierzytelnienie.
Ilustracja 2 - podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno e-mailem, jak i SMS-em. Podpis ten zawiera adres e-mail i numer telefonu osoby podpisującej, pod który platforma Autenti wysłała SMS-em jednorazowy kod OTP (“one-time password”). Służy to do dodatkowej weryfikacji podpisującego.
Ilustracja 3 - podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno mailem, jak i SMS-em. Podpisujący reprezentuje w tym przypadku również swoją organizację, a jej dane zostały ujawnione w podpisie. Są to: nazwa firmy, numer NIP oraz rola (funkcja), jaką podpisujący pełni w organizacji.
Uwaga: Dane organizacji są danymi deklarowanymi - nie podlegają weryfikacji przez Autenti. Platforma umożliwia wysyłanie dokumentów do przedstawicieli biznesu (najczęściej kontrahentów, partnerów biznesowych), bez konieczności dodatkowego uwierzytelnienia w oparciu o kod SMS, o ile podpisujący znani są już wcześniej nadawcy. Jeśli reprezentacja firmy podpisującej składa się z dwóch lub więcej osób, każda z nich musi zostać odrębnie wskazana na platformie i przypisana do firmy o tych samych danych (nazwa, NIP).
Każdy niekwalifikowany podpis elektroniczny złożony na Platformie jest zabezpieczony pieczęcią elektroniczną Autenti.
- Pieczęć końcowa Autenti
Pieczęć końcowa potwierdza złożenie wszystkich podpisów na platformie Autenti oraz zabezpiecza integralność dokumentu. Potwierdza ona, że proces podpisywania został zrealizowany za pomocą platformy Autenti, a także zabezpiecza autentyczność i integralność dokumentu. Dodatkowo pieczęć końcowa zawiera informację o dacie i godzinie zakończenia procesu podpisywania dokumentu na platformie Autenti.
Jeżeli dokument został zmanipulowany, a jego integralność naruszona, to aplikacja do weryfikacji podpisów pokaże całość w następujący sposób:
Poszczególne pola podpisów powinny wskazywać powód błędnej weryfikacji, jakim jest manipulacja treści podpisanego dokumentu, według przykładu przedstawionego na poniższej ilustracji.
Polecamy też artykuł: Weryfikowanie dokumentu podpisanego w Autenti za pomocą Adobe Acrobat >>>